Español | English
rss facebook linkedin Twitter

CARBANAK APT: Ciberataque dirigido a cajeros (ATM)

En octubre de 2014, una investigación de la organización policial internacional Interpol alertó de un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito (para más información puede consultar nuestro blog post).

Lejos de ser un caso aislado, recientes eventos muestran un aumento de los ataques basados en malware dirigidos al entorno de cajeros automáticos, con una variedad de vectores de ataques que comparten un objetivo, el robo del dinero almacenado en efectivo, atacando directamente al banco sin necesidad de involucrar a los clientes.

El último incidente que ha atraido el interés de la industria es el denominado Carbanak APT (también conocido como Anunak), un sofisticado cibertatque que afecta a entidades financieras en más de 30 países con una pérdidas acumuladas cercanas a los mil millones de dólares.

El vector de ataque consiste en el compromiso de la red de la víctima mediante el envío de emails de spear phishing que permitían la descarga del código malicioso que a posteriori se propagaba por sistemas críticos.

Habiendo infectado a usuarios clave, los atacantes les espiaban para obtener un conocimiento detallado de las herramientas y procedimientos de trabajo internos, posibilitándoles copiar estos procedimientos para llevar a cabo sus actividades fraudulentas sin ser detectados por las contramedidas de seguridad del banco.

Aunque los cibercriminales utilizaron múltiples rutas, una de las más relevantes fue el control de la red de cajeros automáticos.

Control de una red de cajeros con  Carbanak

Una vez que la APT  Carbanak comprometía satisfactoriamente la red de la víctima, los atacantes ganaban acceso a la infraestructura de gestión de la red de cajeros infectando esos sistemas con su propio malware.


Aunque puede haber más técnicas de ataque aún no descubiertas, existen evidencias de al menos las siguientes metodologías:
  • Manipulación de la denominación de billetes almacenados en el cajero
El cajero es manipulado para modificar la denominación de los billetes que maneja, de tal modo que posibilitaba a las 'mulas' retirar más dinero del que se registraba en la transacción.
Los atacantes suben scripts maliciosos que modifican el registro del sistema operativo para cambiar las denominaciones del tipo de billetes y, como resultado, una transacción de por ejemplo 10 billetes de 10 unidades se convertía en otra de 10 billetes de 500 unidades.
  • Retirada remota de dinero del dispensador
La red de cajeros se utiliza para programar el dispensado de dinero de  ciertos cajeros a una hora predeterminada. El dinero es retirado por mulas que están preparadas a tal efecto.
Los atacantes usan un programa de 'debug' modificado que acepta comandos para obtener dinero del dispensador. El programa original solamente funciona cuando la puerta del cajero está abierta, pero el modificado ignora esta condición.

Los cibercriminales eran capaces de controlar los ordenadores que tienen acceso la red privada de los cajeros, usándola para enviar remotamente los comandos de dispensado de dinero a los dispositivos.
Basados en estas evidencias podemos decir que la campaña de  Carbanak es un claro indicador de una nueva era de cibercrimen en cajeros en la que los criminales usan técnicas de APT directamente contra la industria financiera en vez de contra sus clientes. En esta ocasión las  APTs no se utilizaron únicamente para robar información, sino que fueron herramientas usadas activamente en el ataque.

Malware dirigido a cajeros  vs la falta de contramedidas de seguridad

Los ataques de malware son una de las mayores preocupaciones asociadas al fraude en cajeros en tanto que suponen menos riesgos y son mucho más rentables que los ataques tradicionales de 'skimming' o ataques físicos.

Los criminales son extremadamente ágiles e innovadores produciendo nuevos tipos de malware para lanzar ataques directos tipo APT contra los bancos, pero también les ayuda los bajos niveles de seguridad de los cajeros, aún corriendo sistemas operativos obsoletos, así como las debilidades de la infraestructura en la que estos se encuentan.

Los cajeros están expuestos a ataques de malware y el empleo de contramedidas de seguridad robustas es absolutamente necesario. Una solución de seguridad integrada basada en  Application Whitelisting, Full Disk Encryption, File Integrity Protection y HW Protection,  provee del más avanzado conjunto de contramedidas para bloquear esta nueva generación de ataques.

En el caso de los ataques mencionados anteriormente, el Application Whitelisting (listas blancas de aplicaciones) podría haber evitado que los sistemas ejecutaran scripts para alterar el funcionamiento de los dispensadores cambiando la denominación de los billetes, mientras que la protección de la consistencia del 'filesystem' o File Integrity Protection,  hubiera prevenido  el reemplazamiento por parte de los atacantes del programa de 'debug' alterado que permitía enviar comandos al dispensador.

Propuesta de S21sec para la Seguridad de los Cajeros

S21sec cuenta con amplia experiencia en el desarrollo de soluciones adaptadas a las necesidades del sector financiero. Nuestro producto Lookwise Device Manager ayuda en la protección  de redes de cajeros frente a ataques lógicos, restringiendo el uso de aplicaciones y hardware no autorizados, monitorizando la actividad del cajero y permitiendo la ejecución de acciones administrativas remotas.
S21sec también cuenta en su portfolio con multitud de servicios de seguridad avanzada especializados en el sector financiero.

Somos miembros y sponsors de las principales asociaciones de la industria de cajeros automáticos:  ATMIA y ATEFI.

Referencias

http://www.bbc.com/news/technology-31487258
http://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/
http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0
https://www.fox-it.com/en/press-releases/anunak/
https://www.fox-it.com/en/press-releases/anunak-aka-carbanak-update/

Juan Ramón Aramendía 
Lookwise Product Marketing Manager

2 comentarios:

Anónimo dijo...

Hola,

¿Se ha publicado los bancos afectados o las redes de cajeros afectadas (servired, 4b, ...)? ¿hay entidades afectadas en españa? gracias.

Ion dijo...

Sí, hay entidades afectadas en España, si bien no se ha publicado información oficial al respecto de cuáles ni del grado de afectación.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login